Cyberthreat.id – Peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Shevierra Danmadiyah, mengatakan, pemerintah harus terbuka dan memberikan informasi kasus kebocoran data kepada masyarakat sampai kasus kebocoran data selesai.

Menurut Shevierra, memberikan informasi kepada publik merupakan salah satu prinsip penting dalam pelindungan data pribadi. Hal ini memiliki peran penting dalam menyelidiki pelanggaran dan meminta pertanggungjawaban entitas yang tunduk pada hukum.

“Dengan hasil penyelidikan yang diungkapkan, bagaimanapun hasilnya, kita akan tahu upaya apa yang seharusnya dilakukan oleh pemerintah, juga upaya apa yang bisa kita lakukan sebagai pemilik data,” ujar Shevierra kepada Cyberthreat.id, Jumat (5/11). (Baca: 12 Kasus Kebocoran Data di Indonesia Sejak 2019)

Berdasarkan Peraturan Pemerintah Nomor 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) dan Permenkominfo 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik disebutkan kewajiban penyelenggara sistem elektronik (PSE) untuk memberitahukan secara tertulis kepada subjek data jika terjadi kegagalan dalam pelindungan data pribadi.

Selain itu, kata Shevierra, bisa juga informasi tersebut disampaikan kepada masyarakat sebagai pemilik data, gambaran secara umum mengenai proses yang sedang terjadi dengan tetap mematuhi prosedur yang ada.

“Jadi, masyarakat tidak dibiarkan menunggu dan sebenarnya bisa saja data yang bocor sudah dimanfaatkan oleh orang-orang yang tidak bertanggung jawab,” ujarnya.

Berkaca dari kasus-kasus kebocoran data pribadi yang tidak ada informasi kelanjutannya, kata dia, hal itu membuat masyarakat tidak tahu sejauhmana proses penyelidikannya. Padahal, kewajiban dari pengendali data dan pemerintah sebagai otoritas terkait untuk menginformasikan hal tersebut.

Ia mendesak pemerintah memaksimalkan penegakan pasal-pasal dalam Permenkominfo 20/2016, PP PSTE, dan PP Sistem Pemerintahan Berbasis Elektronik (SPBE).

Merujuk dalam Pasal 14 ayat (5) PP PSTE, PSE memberitahukan secara tertulis kepada subjek data jika terjadi kegagalan dalam pelindungan data pribadi.

Juga, pada Pasal 28 huruf c Permenkominfo 20/2016 yang mengamanatkan senada untuk melakukan pemberitahuan tertulis kepada subjek data dengan berbagai ketentuan.

Dalam kasus kebocoran data yang menimpa KPAI, lembaga tersebut memang seharusnya melakukan pemberitahuan dan langkah-langkah khusus untuk memastikan insiden kebocoran data pribadi tidak menimbulkan pelanggaran hak lebih lanjut.

Di samping itu, kata dia, secara paralel Kementerian Kominfo, yang saat ini bisa disebut seabgai “leader” dalam tata kelola pelindungan data pribadi di pemerintah, dengan berkoordinasi bersama BSSN dan Polri harus melakukan tindakan lebih lanjut untuk menyelidiki insiden kebocoran data.

“Dengan begitu, bisa diketahui lebih lanjut dan detail apa saja kerugiannya dan upaya apa yang bisa dilakukan oleh pemilik data yang terdampak,” tutur Shevierra.

Kebocoran data KPAI seharusnya menjadi momentum bagi pemerintah untuk melakukan perbaikan tata kelola pelindungan data pribadi, salah satunya bisa dilakukan melalui pembahasan secara seius RUU Perlindungan Data Pribadi. Hal ini harus dilakukan, agar tidak terulang terus-menerus insiden kebocoran data pribadi.

“Saat ini memang Kominfo juga sudah bilang kalau ada investigasi, tapi nyatanya apa? Sampai sekarang kita juga tidak tahu sampai mana prosesnya? Bukan hanya untuk kasus kebocoran KPAI, tapi juga kasus-kasus kebocoran yang lain,” kata dia.

Menyangkut data anak

Sementara itu, terkait dengan data anak yang bocor, KPAI yang memiliki mandat untuk melakukan monitoring realisasi hak anak, semestinya bekerja berdasarkan pendekatan berbasis hak anak (child rights-based approach), termasuk dalam melakukan pemrosesan data pribadi terkait anak dengan: tidak membahayakan (do no harm), menghormati harkat dan martabat anak, kepentingan terbaik bagi anak, serta pelindungan dan kerahasiaan.

Selain itu, jika melihat RUU PDP saat ini, memang belum ada fokus pembahasan mengenai bagaimana data anak harus dilindungi. Padahal, kalau melihat regulasi PDP di Uni Eropa, Inggris, dan Korea Selatan, misalnya, mereka secara spesifik mengatur mengenai pemrosesan dan pelindungan data anak.

“Misalnya, ketika diperlukan mendapatkan persetujuan untuk memproses data pribadi seorang anak, pengendali data harus mendapatkan persetujuan dari perwakilan hukumnya, kecuali untuk data yang berkaitan dengan layanan pencegahan/konseling,” ujar Shevierra.

Namun, RUU PDP saat ini hanya mengklasifikasikan data anak sebagai data spesifik dan tidak ada pembahasan lebih lanjut mengenai bagaimana pelindungan data anak tersebut.[]

Redaktur: Andi Nugroho